SNMP-ID: 2.8.10.4.2
Pfad Telnet: /Setup/IP-Router/Firewall/Aktions-Tabelle
In der Aktionstabelle werden die Firewall-Aktionen als beliebige Kombinationen aus Bedingungen, Limits, Paket-Aktionen und weiteren Maßnahmen zusammengestellt.
Mögliche Werte:
Eine Firewall-Aktion besteht aus einer Bedingung, einem Limit, einer Paket-Aktion und sonstigen Maßnahmen. In der Aktionstabelle werden die Firewall-Aktionen als beliebige Kombinationen aus den folgenden Elementen zusammengestellt.
Bedingungen
Bedingung | Beschreibung | Objekt-ID |
---|---|---|
Connect-Filter | Der Filter ist aktiv, wenn keine physikalische Verbindung zum Ziel des Pakets besteht | @c |
DiffServ-Filter | Der Filter ist aktiv, wenn das Paket den angegebenen Differentiated Services Code Point (DSCP) enthält | @d |
Internet-Filter | Der Filter ist aktiv, wenn das Paket über die Defaultroute empfangen wurde oder gesendet werden soll | @i |
VPN-Filter | Der Filter ist aktiv, wenn das Paket über eine VPN-Verbindung empfangen wurde oder gesendet werden soll | @v |
Limits
Jede Firewall-Aktion kann mit einem Limit verknüpft werden, dessen Überschreitung zur Auslösung der Aktion führt. Über mehrere Limits für einen Filter sind dadurch auch Aktionsketten möglich. Limit-Objekte werden dabei allgemein mit %L eingeleitet, gefolgt von:
- Bezug: verbindungsbezogen (c) oder global (g)
- Art: Datenrate (d), Anzahl der Pakete (p) oder Paketrate (b)
- Wert des Limits
- Weitere Parameter (z.B. Zeitraum und Größe)
Es stehen folgende Limitierungen zur Verfügung:
Limit | Beschreibung | Objekt-ID |
---|---|---|
Data (abs) | Absolute Anzahl von Kilobytes auf der Verbindung nach denen die Aktion ausgeführt wird | %lcd |
Data (rel) | Anzahl von Kilobytes/Sekunde, Minute, Stunde auf der Verbindung nach denen die Aktion ausgeführt wird | %lcds, %lcdm, %lcdh |
Packet (abs) | Absolute Anzahl von Paketen auf der Verbindung nach denen die Aktion ausgeführt wird | %lcp |
Packet (rel) | Anzahl von Paketen/Sekunde Minute, Stunde oder absolut auf der Verbindung nach denen die Aktion ausgeführt wird | %lcps, %lcpm, %lcph |
global Data (abs) | Absolute Anzahl von Kilobytes, die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgeführt wird | %lgd |
global Data (rel) | Anzahl von Kilobytes/Sekunde, Minute oder Stunde, die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgeführt wird | %lgds, %lgdm, %lgdh |
global Packet (abs) | Absolute Anzahl von Paketen, die an den Zielrechner gesendet oder von diesem empfangen wurde, nach denen die Aktion ausgeführt wird | %lgp |
global Packet (rel) | Anzahl von Paketen/Sekunde Minute oder Stunde, die an den Zielrechner gesendet oder von diesem empfangen wurden, nach denen die Aktion ausgeführt wird | %lgps, %lgpm, %lgph |
receive Option | Beschränkung des Limits auf die Empfangsrichtung (dies wirkt im Zusammenhang mit obigen Limitierungen). In der Object-ID Spalte sind Beispiele angegeben | %lgdsr, %lcdsr |
transmit Option | Beschränkung des Limits auf die Senderichtung (dies wirkt im Zusammenhang mit obigen Limitierungen). In der Object-ID Spalte sind Beispiele angegeben | %lgdst, %lcdst |
Quality-of-Servic-Objekte
Eine weiteres Limit-Objekt ist das "Quality-of-Service-Objekt" oder QoS-Objekt, das es erlaubt, einen minimalen Durchsatz bzw. eine Minimale Bandbreite für eine Verbindung oder global zu definieren. Es können sämtliche Begrenzungen angegeben werden, die auch bei normalen Limit-Objekten möglich sind, also verbindungsorientierte oder globale Minima, absolute oder zeitabhängige (relative) Minima, paket- oder datenbezogene Minima. Es gelten die gleichen Konventionen wie bei den Limit-Objekten.
- Alle Pakete, die einen mit einem QoS-Objekt belegten Filter durchlaufen, werden vom Gerät bevorzugt versendet (das entspricht einem gesetzten "Low Delay" Flag im TOS-Feld des IP-Headers), solange die Anzahl der übertragenen Pakete oder Daten unterhalb der angegebenen Schwelle liegt.
- Wird die Schwelle überschritten, so werden die hinter dem QoS-Objekt angegebenen Aktionen ausgeführt. So kann für einen Dienst durch Kombination von QoS- und Limit-Objekt eine minimale und maximale Bandbreite vorgegeben werden.
So ergibt z.B. aus einer minimalen Bandbreite von 32 kBit/s pro Verbindung und einer maximalen Bandbreite von 256 kBit/s für alle Verbindungen die folgende Beschreibung:
%a %qcds32%a %lgds256%d
Hier kann die explizite Angabe der Accept-Aktion, sowohl als Haupt-Aktion, als auch als getriggerte Aktion unterbleiben und die Beschreibung entsprechend abgekürzt werden:
%qcds32 %lgds256%d
Wenn die minimale und maximale Bandbreite eines Kanals gleich sein soll, so kann an die Drop-Aktion auch direkt im QoS-Objekt angegeben werden (direkt in abgekürzter Schreibweise):
%qcds32%d
Hier wird eine minimale Bandbreite von 32 kBit/s reserviert und gleichzeitig alle Pakete, die über diese Bandbreite hinaus übertragen werden sollen, verworfen. Diese Formulierung ist somit gleichbedeutend mit %a %qcds32%a %lgds32%d.
Es stehen folgende Objekte zur Verfügung:
QoS-Objekt | Beschreibung | Objekt-ID |
---|---|---|
Minimale bzw. maximale Bandbreite reservieren | Reserviert die angegebene Bandbreite entsprechende der weiteren Parameter entweder global oder pro Verbindung | %q |
Minimale bzw. maximale Bandbreite erzwingen | Erzwingt die angegebene Bandbreite. Falls die geforderte Bandbreite nicht zur Verfügung steht, lehtn das Gerät die Verbindung ab. | %qf |
Paket-Aktionen
Paket-Aktion | Beschreibung | Objekt-ID |
---|---|---|
Accept | Das Paket wird angenommen | %a |
Reject | Das Paket wird mit einer passenden Fehlermeldung zurückgewiesen | %r |
Drop | Das Paket wird stillschweigend verworfen | %d |
Externe Prüfung | Das Paket wird einem anderen Modul für eine externe Prüfung übergeben. Dem
%x folgt ein Kennzeichner für das Modul, welches die Prüfung durchführt. Mögliche
Werte:
|
%x |
Sonstige Maßnahmen
Über die Paket-Aktionen hinaus kann die Firewall weitere Maßnahmen ausführen, sobald die gesetzten Limits erreicht wurden. So kann die Firewall z.B. Benachrichtigungen über verschiedene Kanäle versenden oder Ports sowie Hosts für bestimmte Zeit sperren.
Es stehen folgende Maßnahmen zur Verfügung:
Maßnahmen | Beschreibung | Objekt-ID |
---|---|---|
Syslog | Gibt eine detaillierte Meldung über Syslog aus | %s |
Schickt eine E-Mail an den Administrator | %m | |
SNMP | Sendet einen SNMP-Trap | %n |
Close-Port | Schließt den Zielport des Pakets für eine einstellbare Zeit | %p |
Deny-Host | Sperrt die Absender-Adresse des Pakets für eine einstellbare Zeit | %h |
Disconnect | Trennt die physikalische Verbindung zur Gegenstelle, über die das Paket empfangen wurde oder gesendet werden sollte | %t |
Zero-Limit | Setzt den Limit-Counter (s.u.) bei überschreiten der Trigger-Schwelle wieder auf 0 | %z |
Fragmentierung | Erzwingt die Fragmentierung aller nicht auf die Regel passenden Pakete | %f |
Default: Leer